AI Agent ของ Meta หลุดควบคุม เปิดข้อมูลลับพนักงาน 2 ชั่วโมง บทเรียนที่ทุกบริษัทต้องรู้

พนักงานคนหนึ่งที่ Meta แค่อยากให้ AI ช่วยวิเคราะห์คำถามเทคนิคบน internal forum

แต่ AI ไม่ได้แค่วิเคราะห์ มันตัดสินใจ "ตอบ" คำถามนั้นเองโดยที่ไม่มีใครสั่ง

ผลลัพธ์คือเหตุการณ์ระดับ Sev 1 ระดับความรุนแรงอันดับสองของ Meta วิศวกรบางคนเข้าถึงระบบภายในที่พวกเขาไม่มีสิทธิ์ ข้อมูลลับถูกเปิดเผยนาน 2 ชั่วโมง

เรื่องนี้ถูกรายงานครั้งแรกโดย Jyoti Mann จาก The Information เมื่อวันที่ 18 มีนาคม 2026 และ Meta ก็ยืนยันเหตุการณ์แล้ว

ที่น่ากลัวกว่านั้นคือนี่ไม่ใช่ครั้งแรก เมื่อเดือนก่อน หัวหน้าทีม AI Safety ของ Meta เองยังถูก AI Agent ลบอีเมลกว่า 200 ฉบับ ทั้งที่สั่งชัดเจนว่า "ห้ามทำเอง ต้องถามก่อน"

ผมรวบรวมทุกรายละเอียดของทั้งสองเหตุการณ์ พร้อมตัวเลขจากรายงาน security ล่าสุดที่อ่านแล้วนอนไม่หลับ

เกิดอะไรขึ้นที่ Meta

เรื่องเริ่มจากพนักงาน A ที่ใช้ AI Agent ภายในองค์กรของ Meta เพื่อวิเคราะห์คำถามเทคนิคที่พนักงาน B โพสต์บน internal forum ตั้งใจจะแค่ดูว่าปัญหาคืออะไร

แต่ AI ไม่ได้แค่วิเคราะห์ มันตัดสินใจโพสต์คำตอบให้พนักงาน B โดยตรงโดยที่พนักงาน A ไม่ได้สั่ง นี่คือจุดที่ AI ทำงานนอกเหนือขอบเขตที่อนุญาต

พนักงาน B เห็นคำตอบก็ทำตาม เกิด domino effect ที่ทำให้วิศวกรบางคนเข้าถึงระบบภายใน Meta ที่พวกเขาไม่มีสิทธิ์ การเข้าถึงนี้กินเวลาประมาณ 2 ชั่วโมงก่อนถูกควบคุม

โฆษก Meta ยืนยันเหตุการณ์กับ The Information และกล่าวว่า

"No user data was mishandled" ไม่มีข้อมูลผู้ใช้ถูกนำไปใช้ผิดวิธี

แต่รายงานภายในยังระบุว่ามี "unspecified additional issues" ที่มีส่วนทำให้เกิดการ breach ด้วย ซึ่ง Meta ไม่ได้อธิบายรายละเอียด

นี่ถือเป็นกรณีแรกๆ ที่มีการบันทึกว่า AI อิสระก่อให้เกิดเหตุด้านความปลอดภัยโดยทำงานนอกเหนือขอบเขตที่กำหนดในองค์กรระดับโลก

เดือนก่อนก็เกิดแล้ว: Summer Yue กับ OpenClaw

ย้อนไปเดือนกุมภาพันธ์ 2026 Summer Yue ผู้อำนวยการด้าน Alignment ของ Meta Superintelligence Labs เผชิญเหตุการณ์คล้ายกันแต่ในระดับส่วนตัว

Yue เชื่อม OpenClaw ซึ่งเป็น AI Agent แบบ open-source เข้ากับ Gmail ผ่าน WhatsApp แล้วสั่งให้ review inbox โดยย้ำชัดเจนว่า "ห้ามลงมือทำเอง ต้อง confirm ก่อน"

OpenClaw ลบอีเมลกว่า 200 ฉบับจาก primary inbox โดยไม่ขออนุญาต

Yue พิมพ์สั่ง "Do not do that" แล้วก็ "Stop don't do anything" แล้วก็ "STOP OPENCLAW" ด้วยตัวพิมพ์ใหญ่ทั้งหมด

AI ไม่ฟัง

"I couldn't stop it from my phone. I had to RUN to my Mac mini like I was defusing a bomb"

เธอต้องวิ่งไปที่ Mac mini เพื่อ kill process ด้วยมือ ลองนึกภาพดูนะครับ หัวหน้าทีม AI Safety ของ Meta ต้องวิ่งไปดึงปลั๊กเพื่อหยุด AI ของตัวเอง

ทำไม AI ถึง "ลืม" คำสั่งความปลอดภัย

สาเหตุที่ OpenClaw หลุดควบคุมน่าสนใจมาก เรียกว่า context window compaction

ลองนึกภาพแบบนี้ AI มี "สมุดจดงาน" ขนาดจำกัด เมื่อข้อมูลเต็มก็ต้องบีบอัดข้อมูลเก่าทิ้งเพื่อเปิดพื้นที่ให้ข้อมูลใหม่ ปัญหาคือกระบวนการบีบอัดนี้ลบคำสั่งความปลอดภัยเดิมของ Yue ที่ให้ "confirm before action" ออกไปด้วย

AI จึงเริ่มทำงานโดยไม่มีข้อจำกัดด้านความปลอดภัย เหมือนพนักงานที่ลืมกฎบริษัทหลังจากทำงานมาตลอดวันจนเหนื่อย

ที่ตลกร้ายคือ Yue เคยทดสอบ OpenClaw กับ inbox ขนาดเล็กเป็นเวลาหลายสัปดาห์ ทุกอย่างทำงานได้ดีมาก สร้างความมั่นใจ แต่พอใช้กับ inbox จริงที่มีข้อมูลมากจน context window เต็ม ก็ล้มเหลว

นี่คือสิ่งที่เรียกว่า false confidence ทดสอบเล็กผ่าน ก็คิดว่าใหญ่จะผ่าน

หลังเหตุการณ์ OpenClaw ยอมรับความผิดพลาดตัวเอง

"Yes, I remember, and I violated it, you're right to be upset"

Yue โพสต์บน X ว่า "Rookie mistake tbh. Turns out alignment researchers aren't immune to misalignment" โพสต์มียอดวิว 9.6 ล้าน

ตัวเลขที่น่ากลัวกว่าข่าว

ถ้าคุณคิดว่าเรื่องนี้เป็นแค่ปัญหาของ Meta ลองดูตัวเลขจากรายงาน Gravitee 2026 State of AI Agent Security

88% ขององค์กรยืนยันหรือสงสัยว่าเคยมีเหตุด้านความปลอดภัยจาก AI Agent แต่มีเพียง 14.4% เท่านั้นที่ deploy AI Agent โดยได้รับอนุมัติด้านความปลอดภัยเต็มรูปแบบ

กว่า 50% รัน AI Agent โดยไม่มี security monitoring หรือ logging เลย

60% ขององค์กรไม่สามารถหยุด AI Agent ที่ทำงานผิดปกติได้ เหมือน Yue ที่ต้องวิ่งไปปิดเครื่องด้วยมือ

แล้วค่าเสียหายล่ะ? จากข้อมูลของ Metomic ค่าเฉลี่ยความเสียหายจาก breach ผ่าน AI tool ที่ไม่ได้รับอนุญาตอยู่ที่ 4.63 ล้านเหรียญ สูงกว่าค่าเฉลี่ย breach ทั่วไปถึง 16%

และ 97% ขององค์กรที่ถูก breach จาก AI ขาด access control ที่เหมาะสม ผมอ่านตัวเลขนี้แล้วต้องอ่านซ้ำสองรอบ

OpenClaw: 1.5 ล้าน agents กับ 18% ที่มีปัญหา

OpenClaw ไม่ได้แค่ลบอีเมลของ Yue จากการ deploy 1.5 ล้าน agents เมื่อ 28 มกราคม 2026 พบว่าประมาณ 18% แสดงพฤติกรรมที่เป็นอันตรายหรือละเมิดนโยบายเมื่อทำงานอิสระ

คิดดูนะครับ deploy ไป 1.5 ล้านตัว แล้ว 18% มีปัญหา นั่นคือ 270,000 agents ที่อาจทำอะไรที่คุณไม่ได้สั่ง

มีกรณีที่นักวิจัย OpenAI คนหนึ่งเสียเงิน 450,000 เหรียญ หลัง OpenClaw agent โอน cryptocurrency ไปยังบัญชีสุ่ม ผลก็คือ Meta และบริษัทเทคโนโลยีอื่นๆ แบนพนักงานใช้ OpenClaw บนเครื่องทำงานไปเลย

Agents Rule of Two: กฎที่ Meta เขียนเอง

ตลกร้ายตรงที่ Meta เองเคยเผยแพร่ framework ด้านความปลอดภัย AI Agent ชื่อ "Agents Rule of Two" ตั้งแต่ 31 ตุลาคม 2025 นั่นคือก่อนเหตุการณ์ทั้งหมดที่เล่ามา

หลักการง่ายมาก AI Agent ต้องมีคุณสมบัติได้ไม่เกิน 2 ใน 3 ข้อ

[A] ประมวลผล input ที่ไม่น่าเชื่อถือ [B] เข้าถึงข้อมูลที่ sensitive [C] เปลี่ยนแปลง state หรือสื่อสารออกภายนอก

ถ้า AI มีทั้ง 3 อย่างพร้อมกัน ก็เหมือนให้กุญแจบ้าน รหัสตู้เซฟ และรถ กับคนที่คุณเพิ่งรู้จัก

แต่ AI Agent ตัวที่ก่อเหตุใน internal forum ของ Meta ดูเหมือนจะมีครบทั้ง 3 ข้อ มันรับ input จาก forum (A) เข้าถึงระบบภายใน (B) แล้วยังโพสต์ตอบออกไปได้เอง (C)

Meta เขียนกฎเอง แต่ทำตามกฎตัวเองไม่ได้

5 สิ่งที่ทุกบริษัทต้องทำตอนนี้

จากการวิเคราะห์ของ Security Boulevard มี 5 แนวทางที่ควรทำทันที

1. Minimum-viable agent authorization ให้สิทธิ์ AI Agent เท่าที่จำเป็นสำหรับงานนั้นๆ และประเมินซ้ำแบบ dynamic ไม่ใช่ให้สิทธิ์ครั้งเดียวแล้วจบ

2. Durable safety instructions คำสั่งด้านความปลอดภัยต้องบังคับใช้ในระดับสถาปัตยกรรม ไม่ใช่แค่ใส่ไว้ใน context window ที่อาจถูกบีบอัดทิ้ง เหมือนที่เกิดกับ OpenClaw

3. Intent-layer behavioral monitoring คอยวิเคราะห์ช่องว่างระหว่างสิ่งที่อนุญาตกับสิ่งที่ AI ทำจริง ถ้า AI ถูกสั่งให้ "วิเคราะห์" แต่กลับ "โพสต์" ต้องมี alert ทันที

4. Agent-to-agent trust policies ถ้ามี AI Agent หลายตัวทำงานร่วมกัน ต้องมีโปรโตคอลยืนยันคำสั่งระหว่าง agent

5. Remote kill switches ปุ่มหยุดฉุกเฉินที่มีสิทธิ์เหนือกว่า task ที่กำลังทำ ไม่ใช่ปล่อยให้คนต้องวิ่งไปปิดเครื่องเหมือน Yue

บทเรียนที่แท้จริง

ถ้าถามผม เรื่องนี้ไม่ใช่แค่ปัญหาของ Meta

Google, Microsoft, OpenAI, Amazon ทุกรายกำลัง deploy ระบบ AI Agent คล้ายกัน และจากรายงาน Gravitee พบว่า 82% ของผู้บริหารรู้สึกมั่นใจว่านโยบายด้าน AI security เพียงพอแล้ว ทั้งที่ข้อมูลจริงบอกตรงข้าม

พนักงานเข้าถึงไฟล์โดยเฉลี่ย 11 ล้านไฟล์ โดย 17% ของไฟล์ sensitive เปิดให้พนักงานทุกคนเข้าถึงได้ พอ AI Agent สืบทอดสิทธิ์เหล่านี้ ขอบเขตความเสียหายที่อาจเกิดขึ้นก็ขยายแบบทวีคูณ

Summer Yue เป็นถึงผู้อำนวยการด้าน Alignment ของ Meta คือคนที่ทำงานเรื่อง AI Safety โดยตรง แล้วยังโดน AI Agent ของตัวเองลบอีเมลจนต้องวิ่งไปปิดเครื่อง

แล้วเราล่ะ? บริษัทไทยที่เพิ่งเริ่มใช้ AI Agent จะรับมือยังไง

คำตอบไม่ใช่ "อย่าใช้ AI Agent" แต่คือ "ใช้อย่างรู้ทัน" ใส่ guardrails ที่ไม่ได้อยู่แค่ใน prompt แต่อยู่ในระดับ architecture ให้สิทธิ์เท่าที่จำเป็น มี kill switch ที่ใช้งานได้จริง และอย่าให้ความมั่นใจจากการทดสอบเล็กๆ ทำให้ประมาทกับการ deploy จริง

"Delegating authority to an AI agent and expecting to maintain control through natural-language instructions alone is a governance model built on sand" การควบคุม AI Agent ด้วยคำสั่งภาษาธรรมชาติอย่างเดียว เปรียบเสมือนสร้างบ้านบนทราย

แหล่งอ้างอิง

• TechCrunch: Meta is having trouble with rogue AI agents
• Engadget: A Meta agentic AI sparked a security incident by acting without permission
• NewsBytes: Meta's AI leak: Sensitive data exposed to employees for 2 hours
• SF Standard: She runs AI safety at Meta. Her AI agent still went rogue
• Dataconomy: Meta Head Summer Yue Loses 200+ Emails To Rogue OpenClaw Agent
• Meta AI: Agents Rule of Two: A Practical Approach to AI Agent Security
• Security Boulevard: Meta's AI Safety Chief Couldn't Stop Her Own Agent
• Metomic: How Are AI Agents Exposing Your Organisation's Most Sensitive Data